网御星云对等保2.0基本要求技术部分,以四级为例,对安全计算环境、安全管理中心的控制点逐项解读内容如下:
01 安全计算环境
1.1 身份鉴别
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
解读:这里的身份鉴别一般指终端和服务等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟网络设备)、安全设备(包括虚拟安全设备)、移动终端及其管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件等内置的身份鉴别功能或身份鉴别措施。要求上述设备或系统应具备用户登录时的身份鉴别措施。如果不具备,或需要实行内网统一身份鉴别,可在内网部署4A统一安全管控系统,可实现全网统一的用户身份标识和鉴别,且身份标识具有唯一性。通过内置功能设置,可设置用户口令复杂度要求和更换周期。对于鉴别失败和重鉴别,分别按照重试5次即为鉴别失败,启用结束会话,并设置冷却时间,同时生成审计和告警信息。对于连续无操作达到10分钟,系统自动退出登录状态,需重新鉴别后再次登录。
当进行远程管理时,4A系统自带的数据加密技术可确保鉴别信息等重要数据在传输中的安全。对于双因子鉴别方式,系统支持多种双因子方式且支持密码技术,可依据需求选择,列举如下:
• 静态密码:静态密码认证功能
• AD域认证:主帐号AD域认证接口
• Radius认证:Radius认证接口
• 密码+令牌认证:强认证,静态密码+动态令牌认证组合
• 密码+短信认证:强认证,静态密码+短信认证组合,短信认证接口包括短信生成和短信校验功能
• 密码+邮件认证:强认证,静态密码+邮件认证组合
• AD域+短信认证:强认证,AD域密码+短信认证组合
• AD域+短信认证:强认证,AD域密码+动态令牌认证组合
• 智能卡认证:提供智能卡认证接口
• 证书认证:提供证书认证接口
对于终端双因子鉴别,可使用USBKey+PIN码方式鉴别用户身份。
1.2 访问控制
a) 应对登录的用户分配账户和权限;
b) 应重命名或删除默认账户,修改默认账户的默认口令;
c) 应及时删除或停用多余的、过期
最低0.47元/天 解锁文章
446
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
